一.实验内容
1. 恶意代码文件类型标识、脱壳与字符串提取
2. 使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。
3. 分析一个自制恶意代码样本rada,并撰写报告,回答以下问题:
- 提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息
- 找出并解释这个二进制文件的目的
- 识别并说明这个二进制文件所具有的不同特性
- 识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术
- 对这个恶意代码样本进行分类(病毒、蠕虫等),并给出理由
- 给出过去已有的具有相似功能的其他工具
- 可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
4. 取证分析实践
Windows 2000系统被攻破并加入僵尸网络
问题: 数据源是Snort收集的蜜罐主机5天的网络数据源,并去除了一些不相关的流量,同时IP地址和其他敏感信息被混淆。回答下列问题:
- IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
- 僵尸网络是什么?僵尸网络通常用于什么?
- 蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
- 在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
- 哪些IP地址被用于攻击蜜罐主机?
- 攻击者尝试攻击了那些安全漏洞?
- 那些攻击成功了?是如何成功的?
二.实验过程
三.实验问题及解决方案
四.学习感悟及思考
原创文章,作者:Carrie001128,如若转载,请注明出处:https://blog.ytso.com/245431.html